北韓駭客遭反殺！ZachXBT 扒出內部支付伺服器資料：假工程師月賺百萬鎂、密碼竟是 123456

據知名鏈上偵探 ZachXBT 於 X 平台發布的最新調查報告，一份來自北韓內部支付伺服器的外洩資料，揭露了北韓假 IT 工作者每月賺取約 100 萬美元的龐大詐騙體系。該網路不僅大量使用假身分與 Deepfake 技術應徵，還透過加密貨幣與法幣管道進行洗錢。
（前情提要：如何一秒分辨北韓駭客？面試官要求「大罵金正恩」，假日本工程師嚇到秒破功）
（背景補充： Elliptic 報告：Drift Protocol「2.8 億鎂竊案」真兇疑似北韓駭客！跨鏈洗錢手法太專業）

本文目錄

Toggle

加密貨幣產業的「北韓假工程師」滲透危機，再度被掀出驚人內幕！知名鏈上調查員 ZachXBT 今（8）日發布了一系列重磅推文，詳細披露了他從一份「從未公開的北韓內部支付伺服器外洩資料」中，梳理出的龐大黑產網路。

1/ Recently an unnamed source shared data exfiltrated from an internal North Korean payment server containing 390 accounts, chat logs, crypto transactions.

I spent long hours going through all of it, none of which has ever been publicly released.

It revealed an intricate… pic.twitter.com/aTybOrwMHq

— ZachXBT (@zachxbt) April 8, 2026

駭客遭反殺！內部伺服器預設密碼竟是「123456」

這起外洩事件的起因極具戲劇性。據 ZachXBT 透露，一名北韓 IT 工作者的裝置意外感染了資訊竊取惡意軟體（Infostealer），導致其 IPMsg 聊天紀錄、假身分資料與瀏覽紀錄全數曝光。

調查發現，這些北韓 IT 員工使用一個名為 `luckyguys[.]site` 的內部支付匯款平台向上線回報帳務。令人啼笑皆非的是，這個經手百萬美元的系統，預設密碼竟然是極其脆弱的「123456」，且名單中有 10 名使用者從未更改過密碼。該使用者清單中更赫然出現了已被美國財政部海外資產控制辦公室（OFAC）制裁的三家實體：Sobaeksu、Saenal 與 Songkwang。

月賺百萬美元！揭密北韓 IT 大軍洗錢產業鏈

ZachXBT 透過分析管理員「PC-1234」與旗下員工的對話紀錄，還原了這個詐騙網路的運作模式。自 2025 年 11 月底以來，該網路的支付錢包地址已累積接收超過 350 萬美元的資金，平均每月進帳約 100 萬美元。

這些假工程師的洗錢路徑相當一致：他們先將賺取或竊得的加密貨幣轉出交易所，隨後透過中國的銀行帳戶或 Payoneer 等金融科技平台轉換為法定貨幣。經過 PC-1234 確認後，再進行內部記帳。ZachXBT 甚至比對了鏈上數據，發現其中一個 Tron 網路的支付地址，已在 2025 年 12 月遭到穩定幣發行商 Tether 凍結。

Deepfake 面試、策劃駭入鏈遊，日常對話全曝光

外洩的內部群組紀錄也真實呈現了這些北韓駭客的工作日常。一名代號「Jerry」的員工被發現使用 Astrill VPN 搭配各種假身分瘋狂投遞履歷。在 Slack 聊天中，甚至有員工分享了一篇關於「北韓 IT 人員使用 Deepfake 申請工作」的資安警告文章，群組內還有人開玩笑反問「這是不是你？」。

此外，紀錄中也發現 Jerry 曾討論利用奈及利亞代理人，對 GalaChain 上的區塊鏈遊戲「Arcano」發動竊取行動。同時，管理員還頻繁向群組發放 Hex-Rays 與 IDA Pro 的逆向工程、反編譯與惡意程式脫殼等專業訓練教材，顯示該組織正積極提升成員的技術能力。

儘管如此，ZachXBT 在總結時犀利指出，這個群體的成熟度仍遠低於 Lazarus 旗下的 AppleJeus 或 TraderTraitor 等頂級駭客團體。他最後拋出了一個引人深思的觀點：對於其他的網路威脅者來說，這些防禦薄弱、滿手資金且「罪有應得」的低階北韓駭客團體，或許才是現成且低風險的最佳攻擊目標。

加入動區 Telegram 頻道